Autor: Dr. Carsten Siara
Der Inhalt im Überblick
Zum Kontext der Entscheidung
Im Anschluss an die Verkündung des sog. Schrems-II-Urteils des EuGH (EuGH, Urteil v. 20.7.2020, Rechtssache C-311/18) leitete die Datenschutzorganisation NOYB – Europäisches Zentrum für digitale Rechte (im Folgenden “NOYB”) innerhalb der Europäischen Union hunderte aufsichtlicher Beschwerden gegen verschiedene Betreiber von Webseiten ein, in denen sie die Einbindung von Google Analytics und Facebook Connect sowie den Einsatz von Cookies datenschutzrechtlich überprüft wissen wollte. In vielen Mitgliedsstaaten bediente sich NOYB hierbei der Vorschrift des Art. 80 Abs. 1 DSGVO, indem sie als Organisation ohne Gewinnerzielungsabsicht konkrete natürliche Personen vertrat, die die jeweiligen Webseiten besucht hatten und deren Daten daraufhin vermeintlich widerrechtlich verarbeitet worden waren.
In einem dieser in Belgien geführten Beschwerdeverfahren nach Art. 77 DSGVO kam es jüngst zu einer bemerkenswerten Entscheidung der belgischen Datenschutzbehörde (Autorité de protection des données – nachfolgend „APD“ – Entscheidung v. 24.1.2024 – DOS-2021-06483). Die Beschwerde war am 10.08.2021 von einer natürlichen Person eingereicht worden, wobei sie von NOYB vertreten wurde. Die Beschwerdeführerin trug vor, am 21.05.2021 von 15:28:49 Uhr bis 15:32:37 Uhr die Webseite der Beschwerdegegnerin besucht zu haben, wobei sie mehrere Flüsse personenbezogener Daten festgestellt habe. Beanstandet wurden u.a. die Gestaltung der Einwilligung, die Möglichkeit des Widerrufs der Einwilligung sowie die grafische und funktionale Gestaltung des sogenannten Consent Banners. In ihrer Entscheidung wies die APD die Beschwerde als unstatthaft zurück.
Die konkrete Entscheidung der belgischen Autoritée de protection des données (APD)
Im Zuge ihrer Ermittlungen stellte die APD fest, dass die Beschwerdeführerin zum Zeitpunkt des Besuchs der Webseite sowie zum Zeitpunkt der Beauftragung von NOYB als Praktikantin von NOYB tätig war. Bei der Anhörung der Beschwerdeführerin wurde zudem offenkundig, dass der Besuch der Webseite der Beschwerdegegnerin im Rahmen eines Auftrags durch NOYB erfolgte. Dieser Auftrag bestand nicht nur in dem Besuch und der Überprüfung der Webseite der Beschwerdegegnerin, sondern in der Überprüfung von insgesamt fünf Webseiten. Diese Webseiten waren anhand bestimmter Kriterien daraufhin zu überprüfen, ob die jeweiligen Cookie-Banner mit den Vorschriften der DS GVO übereinstimmten. Wie die Beschwerdeführerin bei ihrer Anhörung selbst einräumte, hatte sie die Webseite der Beschwerdegegnerin nicht selbst ausgewählt, diese sei vielmehr als Teil eines Dossiers von NOYB vorgegeben worden (Entscheidung Rn. 46.).
Hieraus folgert die APD, dass NOYB bei der Einreichung der Beschwerde und der Führung des Beschwerdeverfahrens gar nicht als Bevollmächtigte der Beschwerdeführerin im Sinne des Art. 80 Abs. DSGVO gehandelt habe (Entscheidung Rn. 54.). Die Wirksamkeit der von der Beschwerdeführerin erteilten Bevollmächtigung beurteilt die APD hierbei anhand der Grundsätze einer wirksamen Einwilligung im Sinne von Art. 7 DSGVO, die sie analog anwendet (Entscheidung Rn. 54). Hierbei sei es nach Ansicht der APD maßgeblich, dass die Beschwerdeführerin zum Zeitpunkt der Vollmachtserteilung als Praktikantin bei NOYB war und damit eine hierarchische Beziehung zwischen der Beschwerdeführerin und NOYB bestand (Entscheidung Rn. 51.). So führe etwa der EDSA in seinen Leitlinien 5/2020 zur Einwilligung des EDSA aus, dass es unwahrscheinlich sei, dass ein Arbeitnehmer seinem Arbeitgeber die Zustimmung zu einer Verarbeitung seiner Daten verweigern könne, ohne negative Folgen zu erleiden oder zumindest zu befürchten (Entscheidung Rn. 50.). Der APD wendet diese Grundsätze auf die streitgegenständliche Vollmachtserteilung an und hält es folglich tatsächlich für unwahrscheinlich, dass die Beschwerdeführerin als Praktikantin bei der Abgabe ihrer Willenserklärung eine echte Wahlfreiheit gehabt habe, ihre Einwilligung zu verweigern oder zu widerrufen. Die Erteilung der Vollmacht an NOYB sei vielmehr in einem beruflichen Kontext erfolgt, der die Beschwerdeführerin beeinflusst haben könnte (Entscheidung Rn. 51.). Im Ergebnis habe die Bevollmächtigung von NOYB daher Scheincharakter aufgewiesen und sei als solche nicht wirksam erteilt worden (Entscheidung Rn. 45. und 54.). NOYB könne höchstens als Beschwerdeführer im Sinne des Art. 80 Abs. 2 DSGVO gehandelt haben, allerdings benötige man hierfür eine nationale gesetzlichen Regelung, die der Mitgliedstaat Belgien absichtlich nicht getroffen habe (Entscheidung Rn. 55.).
Damit war die Beschwerde nach Ansicht der APD nicht zulässig.
Bewertung: Wie wäre es im deutschen Recht?
Die Entscheidung der APD ist insofern bemerkenswert, als sie zum ersten Mal einen möglichen Missbrauch des Art. 80 Abs. 1 DSGVO durch das Vorschieben eigener Mitarbeiter einer Datenschutzorganisation als Beschwerdeführer rechtlich thematisiert. Solange nämlich eine Verbandsklagebefugnis nach Art. 80 Abs. 2 DSGVO im jeweils anwendbaren nationalen Recht nicht vorgesehen ist, sollte es einer gemeinnützigen Organisation auch nicht durch Umgehungskonstruktionen möglich sein, eine vergleichbare Situation herbeizuführen. Ob allerdings die von der APD vorgenommene Anwendung der Grundsätze für die wirksame Erteilung einer datenschutzrechtlichen Einwilligung nach Art. 7 DSGVO auf die Erteilung einer Vollmacht für die Verfahrensführung auch im deutschen Recht fruchtbar gemacht werden kann, muss kritisch geprüft werden. Maßgeblich wird hierbei sein, ob die Vollmachtserteilung im Sinne des Art. 80 Abs. 1 DSGVO sich nach nationalem Recht bestimmt oder ob es sich um eine autonom nach den Grundsätzen des Unionsrechts zu beurteilende Frage handelt. In letzterem Fall wäre eine Überformung des Vertretungsrechts durch die Grundsätze des Art. 7 DSGVO leichter vorstellbar. In Bezug auf die Vertretung im Rahmen eines Beschwerdeverfahrens scheint zumindest umstritten zu sein, ob das Recht zur Vertretung unmittelbar aus Art. 80 Abs. 1 DSGVO folgt oder ob zusätzlich auf das Verwaltungsverfahrensrecht des betroffenen Mitgliedsstaats abzustellen ist (vgl. Bergt in: Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, DS-GVO Art. 80 Rn. 11a f.).
